Skip to main content

Réponse aux intrusions sur le réseau

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Décrire les éléments clés d’un plan de réponse aux incidents
  • Expliquer comment les organisations doivent tester ce plan
  • Identifier les stratégies de communication auxquelles avoir recours en cas d’incident

Création d’un plan de réponse aux incidents

Imaginez une équipe de football participant à la Coupe du monde. L’équipe s’est beaucoup entraînée et s’attend à une victoire écrasante. Toutefois, à la fin de la première mi-temps, elle est menée de deux buts et a l’impression que le match lui file entre les doigts. Dans le vestiaire, l’entraîneuse décide de changer de tactique. Les joueuses vont mettre en œuvre un autre type de jeu auquel elles se sont entraînées et qui exploite la faiblesse du flanc droit de la défense adverse. Chaque joueuse connaît son rôle et dispose des compétences techniques nécessaires. Avec l’aide de l’entraîneuse, le leadership de leur capitaine et le renouveau apporté par quelques remplacements cruciaux, elles parviennent à retourner la situation et à gagner le match in extremis à un but d’écart, remportant ainsi la coupe. 

Une entraîneuse passe en revue une stratégie de jeu sur un tableau noir avec les joueuses, dans le vestiaire.

Tout comme l’entraîneuse met en œuvre un plan pour gagner le match, les ingénieurs en sécurité réseau appliquent un plan de réponse aux incidents lorsqu’un problème survient sur le réseau. Le plan aide à arrêter, contenir et contrôler les dommages qu’une personne malintentionnée peut infliger en essayant de mettre des services hors ligne, de voler des données ou d’accéder de manière illicite à des informations. Le fait de disposer d’un tel plan permet de répondre à un incident plus rapidement et à moindre coût. En règle générale, c’est l’équipe de réponse aux incidents (ERI), un groupe dédié composé de professionnels de la sécurité, qui dirige la réponse aux incidents. Par ailleurs, tout comme l’entraîneuse, la capitaine et les remplaçantes ont joué un rôle dans la victoire, d’autres membres de l’organisation, tels que les avocats, les spécialistes des communications ainsi que la direction et même, en externe, les forces de l’ordre, ont un rôle à jouer. Le plan énumère ces rôles et responsabilités et assure une couverture permanente pendant l’intervention.

Lors de l’élaboration d’un plan de réponse aux incidents, l’ingénieur en sécurité réseau :

  • identifie et hiérarchise les composantes les plus critiques du réseau ;
  • copie et stocke les données sensibles à des emplacements distants pour les utiliser comme sauvegardes dans le cas où des pirates détruiraient ou modifieraient les données ;
  • identifie les points de défaillance sur le réseau et les renforce avec des redondances ;
  • pense à la continuité des opérations : si des pirates informatiques compromettent le service de messagerie, comment l’entreprise informera-t-elle les employés des mesures à prendre ?

Ensuite, il s’agit de détecter une intrusion. Les ingénieurs en sécurité réseau ont un rôle essentiel à jouer lors de cette phase, comme décrit dans le module précédent. Lorsqu’un ingénieur en sécurité réseau détecte un incident, il suit des procédures documentées indiquant quelles informations doivent être collectées, comment elles doivent être communiquées et à quelles personnes les transmettre. Avant tout, l’ingénieur en sécurité réseau doit collecter des informations supplémentaires pour que l’ERI les analyse.

Lors de cette phase d’analyse, l’ERI cherche à comprendre quand l’événement s’est produit, quel était le point d’entrée et comment il a été découvert. L’équipe essaie de déterminer rapidement la portée et l’impact de l’incident. Au cours de cette phase, l’ingénieur en sécurité réseau devra peut-être fournir des journaux et des informations supplémentaires pour aider l’ERI à rassembler les pièces du puzzle. 

Cette analyse permet à l’ERI de gérer la réponse, en commençant par éviter la propagation de l’incident. Cela peut être fait en déconnectant les appareils d’Internet, en isolant des segments du réseau, en mettant en quarantaine les logiciels malveillants ou en mettant à jour et en renforçant les systèmes. L’ingénieur en sécurité réseau devra probablement prendre des mesures pour aider l’ERI dans ces tâches. Une fois la menace contenue, il est important de l’éradiquer complètement en trouvant et en éliminant sa cause première. Tous les logiciels malveillants doivent être supprimés, les mécanismes d’authentification doivent être modifiés et les systèmes réimagés si nécessaire. Un renforcement et une réparation supplémentaires des systèmes peuvent également être mis en œuvre. Pendant que l’équipe entre dans la phase de restauration, l’ingénieur en sécurité réseau peut également avoir besoin de coordonner les sauvegardes du système pour rétablir les opérations commerciales. 

Les professionnels de la sécurité effectuent ce type de travail de planification non seulement pour aider l’organisation, mais aussi souvent pour répondre aux exigences réglementaires. Le plan doit être approuvé, convaincre la direction et être financé. Il doit être exploitable et flexible afin que les rôles, les responsabilités et les procédures soient clairs, tout en laissant une marge de manœuvre pour répondre à des situations imprévues. Enfin, tous les membres de l’organisation doivent être informés de ce plan et être formés à le mettre en œuvre. Il doit par ailleurs être testé par l’équipe de sécurité ; vous en apprendrez davantage à ce sujet dans la section suivante.

Test du plan de réponse aux incidents

Les professionnels de la sécurité veillent à ce que l’organisation connaisse et comprenne le plan, et testent et mettent à jour ce dernier régulièrement. Les équipes commerciales et techniques doivent comprendre le plan et son importance, ainsi que les concepts de sécurité de base. La formation peut permettre d’atteindre cet objectif. 

Les professionnels de la sécurité testent le plan au moins une fois par an. Les scénarios d’entraînement peuvent aider l’ERI à se préparer à mettre en œuvre le plan, tout comme les entraînements aident une équipe de football à se préparer pour remporter la finale. Elle peut utiliser certains outils, tels que des exercices sur table menés avec l’équipe de direction, pour simuler une violation de données. 

Présenter aux cadres dirigeants un scénario d’intervention réaliste aide à préparer l’ensemble de l’organisation à réagir, à communiquer et à prendre des décisions lors d’un incident. Cela aide non seulement l’équipe à se sentir préparée lorsqu’un incident se produit, mais démontre également que l’équipe de sécurité réfléchit de manière proactive aux menaces. Cela peut également mettre en lumière des aspects pour lesquels des politiques ou procédures plus claires sont nécessaires pour accompagner la prise de décisions en cas d’incident, ou pour lesquels du personnel ou des ressources financières supplémentaires sont requis. De plus, cela souligne l’importance d’une approche organisée en matière de sécurité, ce qui ne peut que contribuer à convaincre la direction de l’utilité du plan. 

Enfin, le plan doit être revu et mis à jour régulièrement. Au-delà des mises à jour planifiées, les équipes de sécurité examinent le plan après une violation, en réponse à l’évolution des menaces ou en cas de changements importants dans la technologie utilisée par l’organisation ou dans la structure ou la direction de cette dernière.

Communication lors d’un incident

Dans le cadre du plan de réponse aux incidents, les professionnels de la sécurité documentent la stratégie de communication interne et externe à suivre lors d’un incident. Quelles sont les personnes devant communiquer, que doivent-elles communiquer et quels canaux doivent-elles employer à cette fin ? Il convient de désigner une personne chargée de communiquer avec l’extérieur. Le plan doit également inclure des critères pour impliquer les forces de l’ordre et utiliser des directives réglementaires pour fixer des critères d’escalade. Il doit également proposer une stratégie de communication de secours au cas où les voies de communication normales (telles que les e-mails) auraient été compromises par la violation.

Dans le cadre d’une stratégie de communication, les professionnels de la sécurité documentent la manière dont une organisation communique avec ses clients ; plus précisément, la stratégie indique quelles informations communiquer au sujet d’une violation, à quel moment et de quelle manière. Les organisations doivent aborder cette question avec soin, non seulement parce que les clients peuvent être en colère ou perdre confiance en leur marque à la suite d’un incident, mais aussi parce que les réglementations et les lois sur la confidentialité et la sécurité comportent des directives spécifiques sur la manière dont ces problématiques doivent être traitées. 

Si l’entreprise dissimule l’incident, ne le signale pas dans les délais requis ou bâcle la communication, cela peut affecter sa réputation et l’expose à des amendes ou à des poursuites judiciaires. Il est essentiel que le plan de communication mentionne les réglementations et recommandations qui s’appliquent à l’organisation, ainsi que la manière de mettre celles-ci en œuvre lors d’une intervention à la suite d’un incident. 

Évaluation de vos connaissances

Prêt à réviser ce que vous venez d’apprendre ? L’évaluation ci-dessous n’est pas notée, elle vous permet simplement de faire le point. Pour commencer, organisez la liste des éléments pour que ceux-ci représentent l’ordre correct dans lequel les étapes doivent être mises en œuvre. Lorsque vous avez fini de réorganiser tous les éléments, cliquez sur Soumettre pour vérifier votre travail. Si vous souhaitez recommencer, cliquez sur Réinitialiser.

Bon travail ! Vous avez découvert l’importance du plan de réponse aux incidents et compris le rôle de l’ingénieur en sécurité réseau dans l’identification des points de défaillance sur le réseau. Vous avez également appris comment se déroulent les processus de détection d’un incident et de transmission d’informations à l’ERI pour analyse, et connaissez maintenant les démarches de sensibilisation et de formation au plan de réponse aux incidents, au plan de communication et aux scénarios de test associés. La dernière unité traite des responsabilités de l’ingénieur en sécurité réseau lors de la reprise après sinistre et de la restauration du fonctionnement normal des opérations.

Ressources

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires